MITRE ATT&CK pour les PME : comprendre et détecter les techniques d’attaque

Écrit par ExposIQ | mars 21, 2026

Lorsque les experts en sécurité parlent de cyberattaques, le terme « MITRE ATT&CK » revient fréquemment. Mais que se cache-t-il derrière ce framework, et pourquoi est-il pertinent pour les PME ? La réponse courte : MITRE ATT&CK décrit de manière systématique comment les attaquants procèdent. Et qui comprend le fonctionnement des attaques peut se protéger de manière plus ciblée.

Qu’est-ce que MITRE ATT&CK ?

MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) est une base de connaissances librement accessible qui documente les techniques d’attaque réelles. Le framework a été développé par l’organisation américaine à but non lucratif MITRE et est utilisé dans le monde entier comme référence, par les chercheurs en sécurité, les autorités et de plus en plus par des entreprises de toutes tailles.

Au fond, MITRE ATT&CK répond à une question simple : Que font les attaquants après l’accès initial pour atteindre leur objectif ?

Le framework se structure en trois niveaux :

  • Tactiques : le « quoi » : les objectifs généraux de l’attaquant (p. ex. accès initial, persistance, escalade de privilèges, exfiltration de données)
  • Techniques : le « comment » : les méthodes concrètes pour mettre en oeuvre une tactique (p. ex. phishing, exploitation d’applications exposées, Pass-the-Hash)
  • Sous-techniques : des variantes plus détaillées d’une technique (p. ex. spearphishing par pièce jointe vs. spearphishing par lien)

À ce jour, la matrice ATT&CK pour les réseaux d’entreprise comprend 14 tactiques et plus de 200 techniques. Chaque technique est documentée avec des exemples réels, des groupes d’attaquants observés et des contre-mesures recommandées.

La matrice ATT&CK : une attaque en phases

Une cyberattaque est rarement un événement isolé. Elle se déroule en phases que MITRE ATT&CK représente sous forme de tactiques. Voici le déroulement typique, présenté de manière simplifiée :

  1. Reconnaissance : l’attaquant collecte des informations sur la cible : sites web publics, entrées DNS, noms de collaborateurs sur LinkedIn, services exposés.
  2. Initial Access (accès initial) : la première intrusion dans le réseau, souvent via du phishing, une vulnérabilité exposée ou des identifiants volés.
  3. Execution (exécution) : l’attaquant exécute du code malveillant sur le système compromis.
  4. Persistence (persistance) : l’attaquant met en place des mécanismes pour conserver l’accès même après un redémarrage ou une réinitialisation de mot de passe.
  5. Privilege Escalation (escalade de privilèges) : passer d’un compte utilisateur ordinaire à des droits d’administrateur.
  6. Defense Evasion (contournement des défenses) : désactiver l’antivirus, supprimer les journaux, utiliser l’obfuscation.
  7. Credential Access (vol d’identifiants) : extraire des mots de passe, des hashes ou des tickets Kerberos depuis la mémoire ou Active Directory.
  8. Lateral Movement (mouvement latéral) : accéder depuis le système compromis à d’autres systèmes du réseau.
  9. Collection (collecte de données) : identifier et rassembler les données pertinentes.
  10. Exfiltration : faire sortir les données collectées du réseau.
  11. Impact : chiffrer les données (ransomware), détruire des systèmes ou perturber les opérations.

Ce déroulement montre qu’entre l’accès initial et les dégâts réels, il y a souvent de nombreuses étapes. Chaque étape est une opportunité de détecter et d’arrêter l’attaque.

Les 5 techniques ATT&CK les plus fréquentes dans les environnements PME

Les 200+ techniques ne sont pas toutes également pertinentes pour les PME. Sur la base des analyses de menaces actuelles et des rapports de réponse aux incidents, ces cinq techniques sont particulièrement fréquentes dans les environnements PME :

1. T1566 – Phishing (tactique : Initial Access)

Le phishing reste le vecteur d’entrée le plus fréquent. Les attaquants envoient des e-mails d’apparence authentique contenant des pièces jointes ou des liens malveillants. Dans les environnements PME, cette technique est particulièrement efficace car il n’y a souvent pas de solutions de sécurité e-mail spécialisées et les collaborateurs ne sont pas régulièrement formés.

Pertinence : plus de 80 pour cent des attaques réussies contre des PME commencent par du phishing. Les sous-techniques Spearphishing Attachment (T1566.001) et Spearphishing Link (T1566.002) sont particulièrement répandues.

2. T1190 – Exploit Public-Facing Application (tactique : Initial Access)

Les attaquants exploitent des vulnérabilités connues dans des applications accessibles publiquement : serveurs web, passerelles VPN, serveurs de messagerie, systèmes CMS. Cette technique est particulièrement efficace dans les PME car les correctifs sont souvent appliqués en retard ou pas du tout.

Pertinence : chaque vulnérabilité non corrigée dans un système exposé est un point d’entrée potentiel. Les vulnérabilités FortiGate, Citrix et Exchange de ces dernières années sont des exemples classiques de T1190.

3. T1078 – Valid Accounts (tactique : Initial Access / Persistence / Lateral Movement)

Les attaquants utilisent des identifiants volés, achetés ou devinés pour se connecter avec des comptes légitimes. C’est particulièrement difficile à détecter car la connexion semble techniquement correcte. Les sources d’identifiants sont le phishing, les fuites de données et les attaques par force brute.

Pertinence : sans MFA, un nom d’utilisateur et un mot de passe suffisent. Et dans de nombreuses PME, la MFA n’est pas encore déployée de manière généralisée, en particulier pour les services internes, le VPN ou le RDP.

4. T1021 – Remote Services (tactique : Lateral Movement)

Une fois dans le réseau, les attaquants utilisent des services à distance comme le RDP (T1021.001), les partages administratifs SMB/Windows (T1021.002) ou SSH (T1021.004) pour se déplacer latéralement. Dans les réseaux plats de PME sans segmentation, le chemin du poste de travail au serveur de fichiers ou au contrôleur de domaine est souvent accessible sans aucun filtrage.

Pertinence : l’absence de segmentation réseau est l’un des plus grands risques dans les environnements PME. Si un seul système est compromis, l’attaquant peut potentiellement accéder à tous les systèmes du même réseau.

5. T1486 – Data Encrypted for Impact (tactique : Impact)

Le chiffrement de données, c’est-à-dire le ransomware, est la technique d’impact la plus fréquente lors d’attaques contre les PME. Les attaquants chiffrent les fichiers sur les disques locaux, les partages réseau et les systèmes de sauvegarde pour extorquer une rançon.

Pertinence : le ransomware est la menace numéro un pour les PME. Mais T1486 est toujours la dernière étape de la chaîne d’attaque. Si vous détectez et bloquez les techniques précédentes, on n’en arrive jamais là.

De la théorie à la pratique : utiliser ATT&CK pour votre défense

La compréhension de la perspective de l’attaquant vous aide à construire votre défense de manière plus ciblée. Au lieu d’investir au hasard dans des mesures de sécurité, vous pouvez vous demander : Quelles techniques ATT&CK seront le plus probablement utilisées contre nous, et où avons-nous des lacunes ?

Étapes pratiques :

  • Mapper les vulnérabilités sur les techniques : si vous savez que votre appliance VPN présente une vulnérabilité connue, vous savez aussi que T1190 (Exploit Public-Facing Application) est un scénario réaliste. Cela augmente l’urgence du correctif.
  • Comprendre les chemins d’attaque : une vulnérabilité isolée est dangereuse. Mais une chaîne de vulnérabilités (T1190 → T1078 → T1021 → T1486) est catastrophique. Si vous brisez la chaîne à un seul maillon, vous empêchez l’attaque dans son ensemble.
  • Prioriser les mesures de protection : la MFA bloque T1078 (Valid Accounts). La segmentation réseau complique T1021 (Remote Services). Le patching empêche T1190. Chaque mesure adresse des techniques spécifiques.
  • Développer les capacités de détection : pour chaque technique ATT&CK, il existe des méthodes de détection recommandées. Vous pouvez ainsi investir de manière ciblée dans un monitoring qui détecte les attaques réelles.

Mapping ATT&CK dans ExposIQ

ExposIQ intègre le framework MITRE ATT&CK directement dans l’évaluation des vulnérabilités. Chaque vulnérabilité détectée est automatiquement mappée sur les techniques ATT&CK correspondantes. Concrètement, cela signifie :

Contextualisation : vous ne voyez pas seulement « CVE-2024-XXXXX – Critique », mais vous comprenez également quelles techniques d’attaque cette vulnérabilité permet. Une vulnérabilité qui combine T1190 (Initial Access) et T1068 (Privilege Escalation) a une urgence différente de celle qui ne conduit qu’à une divulgation d’informations.

Visualisation des chemins d’attaque : ExposIQ montre comment des vulnérabilités individuelles peuvent être assemblées en chaînes d’attaque. Ainsi, vous ne voyez pas seulement des problèmes isolés, mais comprenez comment un attaquant pourrait passer de la vulnérabilité A à B pour atteindre votre système le plus critique.

Priorisation par le risque : en combinaison avec les scores EPSS (Exploit Prediction) et le catalogue KEV (Known Exploited Vulnerabilities), le mapping ATT&CK devient un puissant outil de priorisation. Les vulnérabilités activement exploitées et permettant des techniques d’attaque critiques figurent en tête de liste.

Un framework pour tous

MITRE ATT&CK a été initialement développé pour les équipes de sécurité des grandes organisations. Mais l’idée sous-jacente – comprendre l’attaquant pour mieux se défendre – est universellement applicable. Vous n’avez pas besoin d’être un expert en sécurité pour tirer profit d’ATT&CK.

Si vous savez que 80 pour cent des attaques contre les PME commencent par du phishing (T1566) ou l’exploitation d’applications exposées (T1190), vous savez aussi où se trouvent vos leviers les plus importants : sécurité des e-mails, sensibilisation des collaborateurs et patching rigoureux.

ExposIQ rend ces connaissances accessibles aux PME suisses. La plateforme traduit des données de vulnérabilités complexes en informations compréhensibles et exploitables, incluant le mapping ATT&CK, les scores de risque et des recommandations concrètes. Hébergée en Suisse, disponible en quatre langues et dès CHF 99 par mois : exposiq.ch

ExposIQ est la plateforme suisse pour la gestion automatisée des vulnérabilités. Nous aidons les PME et les prestataires informatiques à identifier et corriger les vulnérabilités – de manière sécurisée, compréhensible et conforme à la nLPD.

Zürich, Schweiz

info@exposiq.ch
+41 43 200 02 52

Entreprise

À propos Contact Blog
 Politique de confidentialité Conditions d'utilisation

Newsletter

Copyright © ExposIQ Suisse 2026. Tous droits réservés.